Juniper ATPクラウドスクリプトをダウンロードして実行する

Juniper ATPクラウドは、Junos OSのopスクリプトを使用して、Juniper ATPクラウドサービスに接続するためのSRXシリーズファイアウォールの設定をサポートします。このスクリプトは、次のタスクを実行します。

認証機関(CA)ライセンスをSRXシリーズファイアウォールにダウンロードしてインストールします。

手記：
TLSベースの認証とJuniper ATP Cloudとのセキュアな接続のために、Trusted Platform Module(TPM)ベースの証明書を使用してSRX1600ファイアウォールとSRX2300ファイアウォールを登録できます。TPM の詳細については、「トラステッドプラットフォームモジュールによる暗号化」を参照してください。TPMベースの証明書はSRXシリーズファイアウォールとJuniper ATPクラウド間の接続に使用されるため、ポート8444および7444で junipersecurity.net ドメインへのトラフィックを許可する必要があります。
ローカル証明書を作成し、これらの証明書をクラウドサーバーに登録します。
SRXシリーズファイアウォールでJuniper ATPクラウドの基本的な設定を実行します。
クラウドサーバーへの安全な接続を確立します。

手記：

Juniper ATP Cloudでは、ルーティングエンジン(コントロールプレーン)とパケット転送エンジン(データプレーン)の両方がインターネットに接続できる必要があります。
データプレーン接続は、fxp0 などの管理インターフェイスを経由しないでください。クラウドサーバーと通信するためにSRXシリーズファイアウォールのポートを開く必要はありません。ただし、ファイアウォールなどのデバイスが中央にある場合、そのデバイスではポート 8080 と 443 が開いている必要があります。
SRXシリーズファイアウォールは、デフォルトのinet.0ルーティングテーブルとinet.0のインターフェイス部分を、SRXシリーズファイアウォールからATPクラウドへのコントロールプレーン接続用のソースインターフェイスとして使用します。SRXシリーズファイアウォール上のインターネットに接続する唯一のインターフェイスがルーティングインスタンスの一部である場合、ルーティングインスタンスを指す静的ルートを追加することをお勧めします。そうしないと、制御接続の確立に失敗します。
ジュニパーATPクラウドでは、SRXシリーズファイアウォールのホスト名に英数字のASCII文字(a-z、A-Z、0-9)、アンダースコア記号(_)、ダッシュ記号(-)のみを含める必要があります。

SRX300、SRX320、SRX340、SRX345、SRX380、SRX550シリーズファイアウォールの場合、opスクリプトを実行する前に、またはrequest services advanced-anti-malware enrollを実行する前に、set security forwarding-process enhanced-services-modeコマンドを実行し、デバイスを再起動する必要があります。

Juniper ATPクラウドスクリプトをダウンロードして実行するには、次の手順に従います。

手記：

Junos OSリリース19.3R1以降、SRXシリーズファイアウォールで request services advanced-anti-malware enroll コマンドを使用して、Juniper ATPクラウドWebポータルにデバイスを登録できます。このコマンドを使用すると、Web ポータルで登録タスクを実行する必要はありません。すべての登録は、SRX上のCLIから行われます。 CLIを使用したSRXシリーズファイアウォールの登録を参照してください。

Web UI で、[ デバイス ] をクリックし、[ 登録] をクリックします。

[登録] ウィンドウが表示されます。図1を参照してください。

図1:SRXシリーズファイアウォールの登録
強調表示された内容をクリップボードにコピーし、[ OK] をクリックします。

手記：
デバイスを登録する際、Juniper ATP Cloudはリクエストごとに固有のopスクリプトを生成します。[ Enroll] をクリックするたびに、op スクリプトでわずかに異なるパラメーターが表示されます。上のスクリーンショットは単なる例です。上記の例をSRXデバイスにコピーしないでください。代わりに、Web UIから受け取った出力をコピーして貼り付け、それを使用してSRXデバイスを登録します。

Juniper ATP Cloudに登録するSRXシリーズファイアウォールのJunos OS CLIにこのコマンドを貼り付けます。Enter を押します。画面は次のようになります。

手記：

何らかの理由でopsスクリプトが失敗した場合は、デバイスの登録を解除してから( Juniper Advanced Threat Prevention CloudからSRXシリーズファイアウォールを削除するを参照)、再登録します。

ジュニパーATPクラウドWebポータルで、[デバイス]をクリックします。

登録したSRXシリーズファイアウォールが表に表示されます。図2を参照してください。

図2:登録済みSRXシリーズファイアウォールの例

(オプション)show services advanced-anti-malware statusを使用するCLIコマンドを使用して、SRXシリーズファイアウォールからクラウドサーバーへの接続が確立されていることを確認します。出力は次のようになります。

構成が完了すると、SRXシリーズファイアウォールは、安全なチャネル(TLS 1.2)を介して確立された複数の永続的な接続を介してクラウドと通信します。SRXシリーズファイアウォールは、SSLクライアント証明書を使用して認証されます。

前述のように、スクリプトはSRXシリーズファイアウォール上でJuniper ATPクラウドの基本的な設定を実行します。これらの構成には、次のものが含まれます。

手記：

SRXシリーズファイアウォールで次の例をコピーして実行しないでください。ここでのリストは、単にopスクリプトによって構成されているものを示すためのものです。証明書などの問題が発生した場合は、op スクリプトを再実行します。

デフォルト・プロファイルの作成。

クラウドサーバーへの安全な接続を確立します。次に例を示します。正確な URL は、お住まいの地域によって決まります。表を参照してください。

表 1: カスタマーポータルの URL
場所	カスタマーポータルURL
米国	カスタマーポータル: https://amer.sky.junipersecurity.net
欧州連合	カスタマーポータル: https://euapac.sky.junipersecurity.net
アジア太平洋地域	カスタマーポータル: https://apac.sky.junipersecurity.net
カナダ	カスタマーポータル: https://canada.sky.junipersecurity.net

SSL プロキシーの構成。

クラウドフィード(許可リスト、ブロックリストなど)の設定

Juniper ATP Cloudは、クライアントとサーバーの認証としてSSLフォワードプロキシを使用します。SSL フォワードプロキシは、署名証明書とその発行者の証明書をクライアントブラウザの trusted-ca リストにインポートする代わりに、証明書チェーンを生成し、この証明書チェーンをクライアントに送信するようになりました。証明書チェーンは、クライアントが SSL 転送プロキシ証明書を暗黙的に信頼できるようになったため、SSL 転送プロキシの署名証明書をクライアントに配布する必要をなくすのに役立ちます。

次の CLI コマンドは、ローカル証明書を PKID キャッシュにロードし、証明書チェーンを PKID の CA 証明書キャッシュにロードします。

どこ：

ssl_proxy_ca.crt (Signing certificate)	管理者または中間 CA によって署名された SSL フォワードプロキシ証明書です。
sslserver.key	キーペアです。
ssl-inspect-ca	は、SSL フォワードプロキシが SSL フォワードプロキシプロファイルのルート CA を構成する際に使用する証明書 ID です。
certificate-chain	証明書のチェーンを含むファイルです。

次に、op スクリプトで使用される SSL フォワードプロキシ証明書チェーンの例を示します。

PKIの制限により、SRXシリーズのファイアウォールがFIPSモードの場合、SRXシリーズのファイアウォールをJuniper ATP Cloudに登録することはできません。

証明書を確認するには、 Juniper Advanced Threat Prevention Cloudのトラブルシューティング:証明書の確認を参照してください。証明書に問題がある場合は、op スクリプトを再実行することをお勧めします。